Des experts en sécurité ont découvert des logiciels malveillants s'exécutant dans l'environnement Windows Subsystem for Linux (WSL). Binaire Linux
Le problème a été signalé par des experts de Black Lotus Labs.fait partie de la société de télécommunications américaine Lumen Technologies. Ils ont trouvé plusieurs fichiers Python malveillants compilés dans le binaire Executable and Linkable Format (EFL) pour Debian Linux.
Comment fonctionnent ces virus ?
Ces fichiers faisaient office de chargeurs de démarrage, lançant« charge utile », qui était soit intégrée dans l'instance elle-même, soit provenait d'un serveur distant et était ensuite injectée dans le processus en cours d'exécution à l'aide d'appels d'API Windows », » Black Lotus Labs explique.
En 2017, plus d'un an après la sortieWSL, les chercheurs de Check Point ont démontré une attaque expérimentale appelée Bashware qui permettait d'effectuer des actions malveillantes à partir des exécutables ELF et EXE dans un environnement WSL. Mais WSL est désactivé par défaut et Windows 10 est livré sans distributions Linux intégrées, donc la menace de Bashware ne semblait pas réelle.
Cependant, quatre ans plus tard, quelque chose de similaire s'est produitdécouvert « dans la nature ». Les experts de Black Lotus Labs ont déclaré que les échantillons de code malveillant ont une note minimale sur le service VirusTotal, ce qui signifie que la plupart des programmes antivirus les manqueront.
Plus de détails
Deux variantes du malveillantprogrammes. Le premier est écrit en Python pur et le second utilise en outre une bibliothèque pour se connecter à l'API Windows et exécuter un script PowerShell. Les experts de Black Lotus Labs suggèrent que dans le second cas, le module est encore en cours de développement, car il ne fonctionne pas tout seul.
L'échantillon a également révélé une adresse IP (185.63.90 [.] 137), liés à des cibles en Équateur et en France, à partir desquelles des machines infectées ont tenté de communiquer via les ports 39000-48000 fin juin et début juillet. On suppose que le propriétaire du malware a testé un VPN ou un serveur proxy.
Source : le registre, lumen
Illustrations : CC0 Domaine public
</ p>